Verschlüsselung wurde nicht detailiert untersucht

Ein großer Streitpunkt beim BeA war bisher die verwendete Verschlüsselung. Ursprünglich hatte die Bundesrechtsanwaltskammer behauptet, dass es sich um eine Ende-zu-Ende-Verschlüsselung handele. Das ist allerdings nicht korrekt, da die Nachrichten in einem Hardware-Sicherheitsmodul (HSM) entschlüsselt und neu verschlüsselt werden.

Stellenmarkt
  1. IT-Systembetreuer (m/w/d)
    Pickenpack Seafoods GmbH, Lüneburg
  2. System Engineer Deployment (m/w/d)
    Atruvia AG, Karlsruhe, München, Münster
Detailsuche

Die Verwendung des HSMs ist eine Grundsatzfrage, und alle bisherigen Aussagen der Bundesrechtsanwaltskammer deuten darauf hin, dass diese daran nichts ändern möchte. Eine Gruppe von Anwälten hat vor kurzem mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage eingereicht, mit der eine Ende-zu-Ende-Verschlüsselung erzwungen werden soll.

Doch unabhängig davon, ob ein HSM verwendet wird oder nicht, stellt sich die Frage, welche Verschlüsselungstechniken und Algorithmen zum Einsatz kommen. Dazu sagt das Gutachten nahezu nichts. Es wird lediglich oberflächlich die HSM-Konstruktion beschrieben und etwa erläutert, wie Postfächer erstellt und deren zugehörige Zertifikate signiert werden.

Darstellung in Geheimdokumenten von Atos laut Secunet mangelhaft

Secunet verweist im Gutachten darauf, dass die hierzu gelieferte Dokumentation von Atos mangelhaft sei: "Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom BeA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen."

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.01.2023, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    12./13.12.2022, virtuell
Weitere IT-Trainings

Da in letzter Zeit bei anderen Nachrichtenverschlüsselungstechniken einige gravierende und bislang unterschätzte Gefahren aufgetaucht sind - Stichwort Efail - wirkt dies wenig überzeugend.

Weiter heißt es: "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden." Das Feinkonzept und das Kryptokonzept wiederum sind Dokumente, die Secunet von Atos zur Verfügung gestellt wurden, die aber für die Öffentlichkeit und die Rechtsanwälte nicht zugänglich sind.

Fehlende Zertifikatsprüfung und unkontrollierter Dateiupload

Trotz der spärlichen Details wird durch das Gutachten deutlich, dass eine ganze Reihe von weiteren Sicherheitsproblemen im BeA bestehen, die teilweise bislang auch nicht bekannt waren. So wurde etwa beim Nachrichtenversand auf eine Prüfung der Zertifikate und damit der Empfängerschlüssel verzichtet. Außerdem war es möglich, beliebige Dateien auf dem BeA-Server abzulegen, was zwar die Sicherheit des Systems nicht direkt gefährdet, aber einen Mißbrauch der Infrastruktur ermöglicht. Doch obwohl diese Lücken nicht zu unterschätzen sind, lassen sich die meisten davon relativ einfach mit einem Sicherheitsupdate der Software beheben.

Nach der Vorstellung der Brak soll es jetzt schnell weitergehen. Am 27. Juni werden die Präsidenten der lokalen Rechtsanwaltskammern zu einer Hauptversammlung zusammenkommen. Dort soll die Wiederinbetriebnahme des BeA beschlossen werden. Bereits am 4. Juli soll dann die Client-Software wieder zum Download angeboten werden. Am 3. September würde, wenn es nach den Vorschlägen der Brak geht, das BeA wieder online gehen. Auch die Nutzungspflicht für Rechtsanwälte soll ab dann wieder gelten. Angesichts der ungelösten Probleme dürfte das ein sehr ambitionierter Zeitplan sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ungelöstes Problem mit Javascript-Code vom Server
  1.  
  2. 1
  3. 2
  4. 3


intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.



Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /